Citrix Analytics for Security

持续的风险评估

随着便携式计算设备和互联网的使用增加,Citrix Workspace 用户几乎可以在任何位置和任何设备上工作。这种灵活性所面临的挑战是,远程访问通过数据泄露、盗窃、破坏和服务中断等网络犯罪活动将敏感数据暴露在安全风险之中。组织内的员工也可能造成这种损害。

应对此类风险的一些常规方法是实施多因素身份验证、短时登录会话等。尽管这些风险评估方法确保了更高级别的安全性,但在初始验证用户之后,它们并不能提供完全的安全性。如果恶意用户成功获得对网络的访问权限,他们会滥用对组织有害的敏感数据。

为了增强安全性并确保更好的用户体验,Citrix Analytics 引入了持续风险评估解决方案。此解决方案可确保 Citrix Virtual Apps and Desktops 用户的风险与初始阶段验证时的风险保持不变,从而保护您的数据免受外部网络犯罪分子和恶意内部人员的侵害。此解决方案可以通过在会话期间持续评估风险事件以及自动应用措施来防止组织的资源进一步滥用来实现。

持续的风险评估

用例

假设用户 Adam Maxwell 能够在从违反其惯常行为的一个不寻常的位置多次登录尝试失败后首次访问网络。此外,该地点还有网络攻击的记录。在这种情况下,您需要立即采取行动,以避免亚当的帐户被进一步滥用。您可以锁定 Adam 的帐户并通知他所采取的行动。此操作可能会暂时导致用户帐户的服务中断。用户可以联系管理员寻求恢复帐户的帮助。

假设另一种情况,即 Adam 首次从新设备和新 IP 访问网络。你可以联系 Adam,询问他是否识别了这项活动。如果是这样,可能是亚当更换了他的工作设备,并在他的家庭网络中工作。此活动不会对组织的安全造成任何伤害,可以忽略。但是,如果用户没有执行此活动,则该帐户很可能已被盗用。在这种情况下,您可以锁定用户的帐户以防止任何进一步的损害。

主要功能

持续风险评估可实现与策略和可见性控制板相关的一些功能的自动化:

支持多种条件

创建或修改策略时,最多可以添加四个条件。这些条件可以包含默认风险指示器和自定义风险指示器、用户风险评分或两者的组合。

有关详细信息,请参阅什么是策略

在应用操作之前通知用户

在对用户帐户应用适当的操作之前,您可以通知用户并评估检测到的异常活动的性质。

有关详细信息,请参阅请求用户响应

应用操作后通知用户

对于某些活动,在应用操作之前等待用户响应可能会使用户的帐户和组织的安全面临风险。在这种情况下,您可以在检测到异常活动时应用破坏性操作,然后通知用户相同的情况。

有关详细信息,请参阅应用中断性操作后通知用户

执行和监控模式

您可以根据自己的要求将策略设置为实施或监控模式。执行模式下的策略对用户的帐户有直接影响。但是,如果要在实施策略之前评估策略的影响或结果,则可以将策略设置为监控模式。

有关详细信息,请参阅支持的模式

查看访问和策略控制板

使用访问摘要控制板,您可以深入了解用户的访问尝试次数。有关详细信息,请参阅访问摘要

使用策略和操作控制板,您可以深入了解应用于用户帐户的策略和操作。有关详细信息,请参阅策略和操作

默认策略

Citrix Analytics 引入了默认情况下在策略控制板上启用的预定义策略。这些策略是通过使用风险指示器和用户风险评分作为预定条件创建的。每个默认策略都会分配一个全局操作。

有关详细信息,请参阅什么是策略

您可以使用以下默认策略或根据自己的要求进行修改:

策略名称 条件 数据源 操作
成功利用凭证 何时触发 验证失败过多从不寻常的位置访问、和 授权失败过多 风险指标 Citrix Gateway 锁定用户
潜在的数据泄露 潜在的数据泄露 风险指示器何时触发 Citrix Virtual Apps and Desktops 注销用户
来自可疑 IP 的异常访问 什么时候触发 从不寻常的位置访问从可疑 IP 登录 风险指标 Citrix Gateway 锁定用户
低风险用户-首次从新 IP 访问 首次从新 IP 访问 风险评分低于 70 的用户触发风险指示器 Citrix Gateway 请求用户响应
首次从设备访问 首次从新设备访问 风险指示器何时触发 Citrix Virtual Apps and Desktops 请求用户响应
来自不寻常位置的不寻常的应用 时触发应用程序访问的异常时间(虚拟/SaaS)从不寻常的位置访问 风险指标 Citrix Virtual Apps and Desktops 和 Citrix Gateway 锁定用户

注意

对于 来自异常位置的应用程序访问 策略,无法满足应用 程序访问异常时间(虚拟/SaaS) 条件,因为此风险指示器已弃用。如果要继续实施此策略,请使用其他风险指示器修改此条件。

持续的风险评估